Bastionado 2 EV

Si queremos que los routers CISCO puedan utilizar un TRUNK ... Debe utilizarse obligatoriamente un puerto físico del router para dar servicio a cada VLAN. Los routers no pueden conectarse a un TRUNK de un switch. Debe declararse el puerto de conexión del router como TRUNK con la misma VLAN nativa que el switch. Deben crearse subinterfaces en el puerto del router que conecta al TRUNK del switch.

Hemos arrancado una máquina virtual en modo puente (bridge) en el ordenador. El puerto del switch donde está conectado el ordenador se ha desactivado. ¿Cuál puede ser la causa? Respuesta. El puerto tiene BPDU Guard activado. El puerto tiene DHCP snooping activado. El puerto tiene DAI activado. El puerto tiene port-security activado.

La diferencia entre una smartcard y una llave de seguridad ... Es que una smartcard se puede usar como OTP. Es que una llave de seguridad se usa solamente para almacenar certificados digitales. Es que una llave de seguridad puede utilizarse en WebAuthn. Es que una smartcard tiene muchas más funciones que una llave de seguridad.

En VPN routing ... Los paquetes de broadcast de la red remota se propagan por la conexión VPN. El equipo remoto está en una subred distinta. Es más difícil de configurar que el VPN bridging. Se realiza una unión VPN a nivel 2 a un switch de la red remota.

Un DN válido en LDAP para el dominio paris.loc puede ser: cn=web,ou=groups,ou=paris,uid=loc. cn=web,ou=groups,dc=paris,dc=loc. uid=web,ou=groups,cn=paris,dc=loc. cn=web,uid=groups,ou=paris,dc=loc.

DHCP spoofing ... Necesita DAI (dynamic ARP inspection) en el SWITCH para mitigarlo. Necesita PORT-SECURITY para mitigarlo. Se basa en la modificación fraudulenta de la tabla ARP. No se puede utilizar para capturar paquetes transferidos entre ordenadores de la misma subred.

Para mitigar DHCP Spoofing ... Respuesta. Se debe activar port security en el switch. Se debe activar ARP DAI (inspección dinámica de ARP). Se debe establecer el puerto donde se encuentra el servidor DHCP como trusted. Se deben añadir en el switch las direcciones de los equipos configurados con IP dinámica.

Las tramas que van etiquetadas suelen venir por ... Puertos TRUNK. Puertos ACCESS. Puertos PORTFAST. Puertos UNTAGGED.

En Kerberos ... El usuario debe introducir su nombre de usuario y contraseña cada vez que accede a un servicio kerberizado distinto. Cualquier servicio puede utilizar Kerberos. Normalmente utiliza claves públicas y privadas para la autenticación. Un usuario puede probar su identidad a un servidor a través de una conexión de red insegura.

En DAI (Dynamic ARP Inspection). Intercepta solicitudes y respuestas ARP en puertos no confiables. Requiere DHCP Snooping. Todas son correctas. Descarta respuestas ARP no válidas para evitar envenenamiento ARP.

En un ataque DTP se busca ... Convertir el puerto de conexión en TRUNK. Convertir el ordenador atacante en raíz de spanning-tree. Poner el puerto como DHCP Trusted para hacerse pasar por un servidor DHCP auténtico. Aprovechar que el puerto está en una VLAN nativa para realizar un doble etiquetado.

Para evitar ataques de spanning tree, se debe ... Activar port security en los puertos de los endpoint. Activar DAI en los puertos de los endpoint. Activar DHCP Snooping en los puertos de los endpoint. Activar BPDU Guard en los puertos de los endpoint.

Una VPN host_to_site se utiliza ... Para conectar en modo puente (bridged). Para conectar dos subredes remotas de la misma empresa. Para conectar mediante acceso remoto a un usuario desplazado (road warrior). Para conectar una máquina virtual a la red de su anfitrión.

En el switch 1 estamos conectamos a un puerto de la VLAN 44. El switch 1 y el switch 2 están conectados mediante un TRUNK cuya VLAN nativa es la 44. El servidor al que queremos atacar está conectado a un puerto de la VLAN 88 del switch 2. Si queremos atacar el servidor mediante TCP ... Solo podremos hacer ataques DOS, ya que la negociación del protocolo TCP necesita un paquete de vuelta ACK que nunca llegaría al atacante. Se necesita una trama doblemente etiquetada con las VLAN: 1 y 44 (en este orden). Se necesita una trama doblemente etiquetada con las VLAN: 88 y 44 (en este orden). Se necesita una trama doblemente etiquetada con las VLAN: 1 y 88 (en este orden).

Para la inicialización del esquema de directorio de usuarios y grupos de LDAP hemos utilizado ... Cuando se instala LDAP, la estructura ya está inicializada. Un script. Una aplicación web. Un archivo LDIF.

Una VPN host_to_site se utiliza ... Para conectar dos subredes remotas de la misma empresa. Para conectar una máquina virtual a la red de su anfitrión. Para conectar en modo puente (bridged). Para conectar mediante acceso remoto a un usuario desplazado (road warrior).

En DAI (Dynamic ARP Inspection) ... Descarta respuestas ARP no válidas para evitar envenenamiento ARP. Requiere DHCP Snooping. Todas son correctas. Intercepta solicitudes y respuestas ARP en puertos no confiables.

Hemos arrancado una máquina virtual en modo puente (bridge) en el ordenador. El puerto del switch donde está conectado el ordenador se ha desactivado. ¿Cuál puede ser la causa?. El puerto tiene DAI activado. El puerto tiene DHCP snooping activado. El puerto tiene BPDU Guard activado. El puerto tiene port-security activado.

En el switch 1 estamos conectamos a un puerto de la VLAN 44. El switch 1 y el switch 2 están conectados mediante un TRUNK cuya VLAN nativa es la 44. El servidor al que queremos atacar está conectado a un puerto de la VLAN 88 del switch 2. Si queremos atacar el servidor mediante TCP ... Se necesita una trama doblemente etiquetada con las VLAN: 1 y 88 (en este orden). Solo podremos hacer ataques DOS, ya que la negociación del protocolo TCP necesita un paquete de vuelta ACK que nunca llegaría al atacante. Se necesita una trama doblemente etiquetada con las VLAN: 1 y 44 (en este orden). Se necesita una trama doblemente etiquetada con las VLAN: 88 y 44 (en este orden).

DAI (inspección dinámica de ARP) ... Respuesta. Los equipos con IP estática en un puerto no confiable deben anadir su IP y MAC en las listas de control de acceso. Los equipos con IP estática deben añadirse en la lista de trusted servers del servidor DHCP para que sean reconocidos como confiables (trusted). Los equipos con IP estática en un puerto confiable deben añadir su IP y MAC en las listas de control de acceso. No se necesita configurar nada en las listas de DHCP snooping en los equipos con IP fija,.

802.1x ... Es obligatorio en las conexiones WIFI a puntos de acceso inalámbrico. Debe utilizar obligatoriamente LDAP para almacenar los usuarios y las contraseñas. El servidor de autenticación que utiliza nunca debe ser RADIUS. Debe estar desactivado en el puerto que tiene conectado el servidor de autenticación Radius.

Una VLAN de gestión ... Se necesita para el envío de las tramas etiquetadas (trunk). Se usa para el tráfico de Spanning Tree (STP), por lo que tiene que ser asegurada. Suele utilizarse la misma VLAN que la de la nativa de los trunk del switch. Debe pertenecer a una VLAN que no sea la predeterminada del switch.

Un ticket granting ticket (TGT) en Kerberos ... Se usa para que el usuario pueda solicitar un "Ticket Granting Service" (TGS) al centro de distribución de claves (KDC) y así poder presentarlo en un servidor. Se usa para que un servidor tenga confianza en un centro de distribución de claves (KDC). Se usa para que el usuario pueda presentarlo para acceder los servicios de un servidor. Se usa como elemento de intercambio de claves (PKI).

Para la inicialización del esquema de directorio de usuarios y grupos de LDAP hemos utilizado ... Un script. Un archivo LDIF. Una aplicación web. Cuando se instala LDAP, la estructura ya está inicializada.

Una tarjeta inteligente ... Puede almacenar el certificado de cliente que se tiene que usar para autenticarse en un servidor Web. Se podría considerar un dispositivo biométrico. Puede almacenar la clave utilizada para la generación de una OTP. Puede usarse para acceder a un sitio Web con validación sin password (Webauthn).

La diferencia entre una smartcard y una llave de seguridad ... Es que una smartcard tiene muchas más funciones que una llave de seguridad. Es que una llave de seguridad puede utilizarse en WebAuthn. Es que una smartcard se puede usar como OTP. Es que una llave de seguridad se usa solamente para almacenar certificados digitales.

En un SWITCH ... Un paquete sin etiquetar por el TRUNK se reenviará a todos los puertos del SWITCH. Un paquete no etiquetado que llega por un puerto troncal se reenvía a todos los puertos ACCESS asociados a la VLAN nativa. Un paquete sin etiquetar por el TRUNK forzará a que el puerto por el que se ha recibido se desactive. Un paquete sin etiquetar recibido por el TRUNK se descartará inmediatamente.

El programa Responder ... Captura el desafío-respuesta NetNTLM gracias a la captura de las peticiones DNS. Responde a las peticiones mDNS y se hace pasar por un servidor SMB para capturar el protocolo desafío-respuesta NetNTLMv2. Responde a las peticiones mDNS y se hace pasar por un servidor SMB para capturar los hashes NTLM que envía el cliente por la red. Reenvía el desafío-respuesta de NetNTLM para usar las credenciales del cliente en un servidor.

Un HOTP ... Utiliza la hora actual y un secreto compartido para generar un hash que a su vez calcula un código numérico. Forma parte de FIDO2. Puede perder la sincronización si el usuario pide muchas claves en su dispositivo OTP sin validar ninguna. Forma parte de los certificados digitales.

Las tramas que van etiquetadas suelen venir por ... Puertos PORTFAST. Puertos ACCESS. Puertos UNTAGGED. Puertos TRUNK.